Un'esca ricorrente nelle e-mail di phishing che si spacciano per United Healthcare è la promessa di uno spazzolino Oral-B gratuito. Ma la parte interessante non è lo spazzolino. È il link.
Recentemente abbiamo scoperto che questi phisher hanno smesso di utilizzare Microsoft Azure Blob Storage (link simili a questo:
https://{string}.blob.core.windows.net/{same string}/1.html
ai collegamenti offuscati utilizzando un indirizzo IPv4 mappato su IPv6 per nascondere l'IP in modo che appaia confuso ma sia comunque perfettamente valido e instradabile. Ad esempio:
http://[::ffff:5111:8e14]/
Negli URL, inserire un IP tra parentesi quadre significa che si tratta di un letterale IPv6. Quindi [::ffff:5111:8e14] viene trattato come un indirizzo IPv6.
::ffff:x:y è un formato standard denominato indirizzo IPv6 mappato su IPv4, utilizzato per rappresentare un indirizzo IPv4 all'interno della notazione IPv6. Gli ultimi 32 bit (il x:y parte) codifica l'indirizzo IPv4.
Quindi dobbiamo convertire 5111:8e14 a un indirizzo IPv4. 5111 e 8e14 sono numeri esadecimali. In teoria ciò significa che:
- 0x5111 in decimale = 20753
- 0x8e14 in decimale = 36372
Ma per gli indirizzi mappati IPv4 trattiamo effettivamente gli ultimi 32 bit come quattro byte. Se decomprimiamo 0x51 0x11 0x8e 0x14:
- 0x51 = 81
- 0x11 = 17
- 0x8e = 142
- 0x14 = 20
Quindi, l'indirizzo IPv4 a cui rimanda questo URL è 81.17.142.20.
Le e-mail sono varianti di una falsa ricompensa da parte di truffatori che fingono di essere United Healthcare e che utilizzano uno spazzolino Oral‑B iO di alta qualità come esca. Le vittime vengono indirizzate a una pagina di destinazione in rapida rotazione dove l'obiettivo finale è probabilmente la raccolta di informazioni di identificazione personale (PII) e dati della carta di credito con il pretesto di confermare l'idoneità o pagare una piccola spesa di spedizione.
Come stare al sicuro
Cosa fare se hai inserito i tuoi dati
Se hai inviato i dati della tua carta:
- Contatta immediatamente la tua banca o l'emittente della carta e blocca la carta.
- Contesta eventuali addebiti non autorizzati
- Non aspettare che si verifichi una frode. I dati delle carte rubate vengono spesso utilizzati rapidamente.
- Modifica le password degli account collegati all'indirizzo e-mail che hai fornito.
- Esegui una scansione completa con un prodotto di sicurezza affidabile.
Altri modi per stare al sicuro:
- Mantieni aggiornati il tuo dispositivo e il software
- Utilizza una soluzione anti-malware aggiornata e in tempo reale con protezione web abilitata.
- Se non sei sicuro che si tratti di una truffa, Malwarebytes possonoinviare messaggi sospetti a Scam Guardper una verifica.
Indicatori di compromesso (IOC)
81.17.142.40
15.204.145.84
redirectingherenow[.]com
redirectofferid[.]pro
Non ci limitiamo a segnalare le truffe, ma aiutiamo a individuarle.
I rischi legati alla sicurezza informatica non dovrebbero mai andare oltre i titoli dei giornali. Se qualcosa ti sembra sospetto, verifica se si tratta di una truffa utilizzando Malwarebytes Guard. Invia uno screenshot, incolla il contenuto sospetto o condividi un link, un testo o un numero di telefono e ti diremo se si tratta di una truffa o di qualcosa di legittimo. Disponibile con Malwarebytes Premium per tutti i tuoi dispositivi e Malwarebytes per iOS Android.
